代理检测:在线检测您是否在使用 Clash

20 小时 26 分钟前
 mikewang

ClashScan

(推荐使用最新 Chrome 内核浏览器) https://mikewang000000.github.io/ClashScan/

代码开源在 GitHub ,页面部署在 GitHub Pages 上。

Clash 是一个比较常见的代理软件,有很多衍生版本和 GUI 程序。
不过我最近才发现它是允许 CORS (跨域)的,这带来了不小的安全隐患。

再加上很多 GUI 默认不加 Secret 进行身份验证,即使运行在 127.0.0.1 ,也能被外部网站随时调用。

如果您没有修改默认配置,值得检测一次。

10831 次点击
所在节点    信息安全
111 条回复
yyzh
20 小时 21 分钟前
在手机上不能用?没看见有按钮
ByteCat
20 小时 16 分钟前
好慢的扫描
Configuration
20 小时 11 分钟前
探测 127.0.0.1 的,循环端口。。。scannedPorts++; 难怪这么慢
GeekGao
20 小时 7 分钟前
确实是个大问题
yanyao233
20 小时 3 分钟前
草,这确实有点危险了
mikewang
20 小时 1 分钟前
@yyzh 手机端不用扫了(检测电脑端的

@Configuration @ByteCat
实际上常用端口排在最前面的,十秒内没扫到基本上是安全的。
后面虽然会扫整个 65535 ,实际因为浏览器性能低,而且会漏,作用不大。只是作为理论参考。
oneisall8955
19 小时 59 分钟前
openclash 透明代理没有检测到
mikewang
19 小时 57 分钟前
@oneisall8955 透明代理等不在 127.0.0.1 上的不会检测到。本质是探测 Clash 在本机的 API 端口。
lower
19 小时 56 分钟前
太慢了,懒得等了
ffnil
19 小时 56 分钟前
这 Chrome 为啥不阻止网站访问 127.0.0.1
chinni
19 小时 51 分钟前
哦扫描本地端口啊 我代理都是在局域网的.. 电脑上啥都没装(
leilinJune
19 小时 50 分钟前
应该改什么配置
yjxjn
19 小时 49 分钟前
那怎么避免呢???如何修改默认配置?
s4d
19 小时 46 分钟前
有点吓人哦,怎么把我服务器的配置给读出来了?什么原理?
epiphyllum
19 小时 43 分钟前
一个解决方法:使用 NoScript 浏览器扩展屏蔽网页对本地网络发起的请求
asuraa
19 小时 43 分钟前
路由上跑的,检测不到
mikewang
19 小时 34 分钟前
@leilinJune @yjxjn @s4d 原理是默认端口,并且 API 没有上密码,就被读了。

在 yaml 里面,修改下面两个配置:

external-controller: '127.0.0.1:9090'
secret: 'xxxxxxx'

把 7890 改成随机高位端口,避免扫描; secret 改为随机密码(如果没有这个配置手动加上)。

---

如果被检测并读出服务器配置了,那么你之前可能一直在裸奔(
gzlock
19 小时 30 分钟前
1 clash 核心默认打开外部控制功能
2 clash 核心的外部控制功能就是允许跨域的(不然无法使用第三方的外部控制功能 GUI
3 @ffnil 浏览器必然是允许第三方网站读取局域网 ip 资源的
4 @s4d 设置外部控制功能的密钥

其实让这些软件提供个开关切换 启用 / 禁用外部控制功能 即可解决这个问题,楼主的项目正好引发了这个需求
mikewang
19 小时 30 分钟前
#10 @ffnil > 这 Chrome 为啥不阻止网站访问 127.0.0.1

一个是本地调试很多都是在 127.0.0.1 ,另外就是向 QQ 一键登录等功能实际上也是在 127.0.0.1 上的,不过它的接口有鉴权。
ewiglicht
19 小时 24 分钟前
不是很懂这个原理,不过我的没扫描出来。PC 本地跑 tun 模式。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1076579

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX